来源: 时间:2022-04-30 10:35:07
WannaCry无疑是世界上有史以来最大的勒索软件攻击。尽管这种影响在一定程度上受到了阻碍,但人们担心勒索软件可能会大起大落。
paladion Networks总裁兼首席运营官Sunil Gupta解释了如何应对这一新威胁。他说,该漏洞正在利用NSA的ETERNALBLUE漏洞,该漏洞最初旨在利用Microsoft Windows SMB漏洞 (在MS17-10中解决),WannaCry的创建者将此关键漏洞集成到其蠕虫模块或初始滴管中。
在使用NSA的DOUBLEpULSAR后门时也观察到勒索软件。
受影响的产品有哪些?
如果未修补MS17-010,则Windows 10之前的所有Windows版本都容易受到攻击。Windows Xp和Windows Vista用户完全容易受到攻击,因为这两个操作系统都不再接收更新和安全补丁。作为一个特殊情况,微软已经推动了旧操作系统的更新,并承诺更多。参考IOCs-WANNACRY RANSOMWARE.xlsx中列出的cve
它对你有什么影响?
一旦将初始蠕虫模块引入系统,它将创建两个线程-一个线程扫描LAN上的主机,另一个线程创建128次并扫描更广泛的Internet上的主机。使用端口445进行基于LAN的扫描,并尝试使用MS17-010/ETERNALBLUE利用所发现的系统。
第二个线程通过生成随机ip地址来扫描Internet。如果连接到该随机Ip地址上的端口445成功,则将扫描整个/24范围,如果发现端口445打开,则会尝试利用漏洞。因此,如果目标网络未修补漏洞,则很有可能会受到影响。
如何防止这种情况发生?
尽管一个月前暴露了漏洞利用/漏洞,但仍有许多系统未打补丁。为了防止这种正在进行的大规模利用和传播,可以执行以下操作:
1.安装所有可用的操作系统更新,包括防止被利用
2.通过对Windows注册表所做的修改,按照以下步骤手动禁用SMBv1:
a.导航到: HKEY_LOCAL_MACHINE \ 系统 \ 当前控制集 \ 服务 \ LanmanServer \ 参数
b.寻找价值: SMB1
c.修改数据: REG_DWORD: 0 = 禁用
3.限制入站流量以开放可公开访问/可向Internet开放的SMB端口 (端口139、445)。
4.阻止传播此恶意软件所涉及的ip,域,哈希值。有关详细信息,请参阅附件-IOCs-WANNACRY RANSOMWARE.xlsx。
5.实施端点安全解决方案。可以参考IOCs-WANNACRY RANSOMWARE.xlsx下的 “av签名名称” 部分。
6.在桌面和服务器上保留关键数据的脱机备份。
7.组织应阻止与网络上的TOR节点和TOR流量的连接 (IOCs - WANNACRY RANSOMWARE.xlsx)。
银行/用户/客户应该采取什么行动?
安装所有关键补丁。
查看任何前往端口139、445的流量。如果不需要,请阻止。
强烈建议立即在外围设备 (例如防火墙,代理等) 和电子邮件安全网关上阻止提供的威胁指标列表 (IOCs - WANNACRY RANSOMWARE.xlsx)。但是,请注意:
在您的特定环境中进行风险分析后,您应自行决定根据本咨询/IOC列表行事。
咨询/IOC清单本质上是时间敏感的,随着收到有关威胁的新信息,我们方面的后续更新可能会被覆盖。
如果某个节点已被感染,该怎么办?
1.断开受感染系统与生产网络的连接。
2.通过遵循以下内容在系统上执行完整的反恶意软件扫描:
F-SECURE-f-secure.com/en/web/home_global/online-扫描仪
迈克菲-http://www.mcafee.com/uk/downloads/ 免费-工具/毒刺
MICROSOFT-http://www.microsoft.com/security/scanner/ en-us/default.aspx
SOpHOS-https://www.sophos.com/en-us/产品/免费-工具/virus-removal-tool.aspx
趋势科技-http://housecall.trendmicro.com/
您可以参考IOCs -WANNACRY RANSOMWARE.xlsx来识别额外的反恶意工具,并成功检测到进一步的扫描和消毒。
您可以参考IOCs -WANNACRY RANSOMWARE.xlsx来识别额外的反恶意工具,并成功检测到进一步的扫描和消毒。
3.阻止网关设备上提供的指示符 (ip、域和哈希值)。
4.尝试使用解密工具解密任何加密文件,如趋势科技勒索软件文件解密器,nomoreransom.org/decryption-tools.html
5.双脉冲星的删除脚本 (如果找到): github.com/countercept/doublepulsar-检测-脚本
6.从最近一次备份中恢复数据
相关推荐
猜你喜欢
